发布时间:2020-06-18
最新更新时间:2020-06-18
近日,CNVD报告(信息编号:CNVD-C-2020-121059)锐捷部分安全产品存在任意文件下载漏洞,在设备WEB界面可对系统文件进行下载,详细情况如下:
一、漏洞说明
RG-WALL 1600系列下一代防火墙早期产品在WEB管理页面代码中存在参数过滤不严谨的问题,存在任意文件下载的风险。
二、影响范围
涉及产品型号与软件版本:
|
产品型号 |
软件版本 |
|
RG-WALL 1600-CC |
RG-WALL-V5.2-R2.1P5-20160314 |
|
RG-WALL 1600-ST |
|
|
RG-WALL 1600-EM |
|
|
RG-WALL 1600-XDC |
三、漏洞定级
该风险仅在设备WEB页面可访问的条件下发生。若HTTP/HTTPS登录访问被阻止,则不存在该风险。
按照《GBT 30279-2013 信息安全技术安全漏洞等级划分指南》定义,此漏洞等级为“低危”。即:可远程操作、利用方式复杂,不易形成大规模攻击。
四、漏洞规避方案
1、在外网以及其他不需要进行WEB管理的接口上,取消HTTP/HTTPS管理方式(如下图,将红框内的管理权限取消勾选):
2、设置管理主机,禁止非设备管理用户登录设备WEB系统(如下图添加管理主机限制配置):
五、漏洞解决方案
该系列产品已停产,且当前时间已超过“软件版本维护终止日期”,建议参考规避方案处理,或购买新款下一代防火墙产品。
六、后续改善计划
锐捷网络会持续跟进该漏洞的最新动态,请您关注锐捷网络的官网、官微的公告内容。有任何关于此次漏洞修复的问题,可以通过以下方式联系我们:
锐捷售前咨询热线:4006-208-818
锐捷售后咨询热线:4008-111-000
锐捷睿易咨询热线:4001-000-078
锐捷网络官网:www.ruijie.com.cn
文档评价
